Ti vendono una TV e ti regalano un malware! BadBox: un milione di dispositivi per una botnet invisibile

L’FBI ha riferito che la botnet Android BadBox 2.0 ha già infettato oltre 1 milione di dispositivi in ​​tutto il mondo. Gli attacchi includono decoder TV, tablet, smart TV, smartphone e così via, che il malware trasforma in proxy residenziali.

“La botnet BadBox 2.0 è composta da milioni di dispositivi infetti e contiene molteplici backdoor verso proxy che i criminali informatici utilizzano per vendere o fornire accesso gratuito a reti domestiche compromesse da utilizzare per una serie di attività criminali”, avverte l’FBI.

Ricordiamo che BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, il malware può essere preinstallato su dispositivi economici fin da subito, e infettarli anche tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti.

Il malware viene utilizzato per rubare dati, installare altro malware e consente agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il gadget infetto. “I criminali informatici ottengono l’accesso non autorizzato alle reti domestiche dotando i dispositivi di malware prima che vengano acquistati dall’utente o infettandoli durante il download di applicazioni necessarie contenenti backdoor, cosa che di solito avviene durante la configurazione”, spiega l’FBI. “Una volta che i dispositivi IoT compromessi si connettono alle reti domestiche, diventano parte della botnet BadBox 2.0 e dei proxy residenziali, comunemente utilizzati per attività dannose”.

Come già segnalato dagli esperti di sicurezza, BadBox è in grado di rubare codici di autenticazione a due fattori, installare altro malware e creare nuovi account di posta elettronica e di messaggistica istantanea per diffondere notizie false. Inoltre, gli operatori di BadBox sono associati a frodi pubblicitarie e i dispositivi infetti vengono utilizzati come proxy residenziali. Sono noti anche casi in cui gli aggressori hanno utilizzato gli indirizzi IP delle vittime per accedere agli account di altre persone utilizzando credenziali rubate.

Ricordiamo che BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore indipendente di sicurezza informatica Daniel Milisic, il quale notò che su Amazon venivano venduti decoder Android T95 infettati da malware complessi fin dal primo momento.

Alla fine del 2024, le forze dell’ordine tedesche hanno tentato di disattivare  parte della botnet BadBox. Tuttavia, i ricercatori di BitSight hanno subito segnalato che l’operazione ha avuto un impatto minimo sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0.

“Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. “I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Secondo i ricercatori, la maggior parte dei gadget interessati si trova in Brasile (37,6%), Stati Uniti (18,2%), Messico (6,3%) e Argentina (5,3%). Nel marzo 2025, l’operazione ha consentito di realizzare un sinkhole su alcuni domini botnet, interrompendo la comunicazione con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, secondo l’FBI, la botnet sta nuovamente crescendo poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore